Wéi een verschlësselte Dateiesystemer opstellt a Plaz tauscht mat Cryptsetup Tool a Linux - Deel 3


E LFCE (kuerz fir Linux Foundation Certified Engineer) ass trainéiert an huet d'Expertise fir Netzwierkservicer a Linux Systemer z'installéieren, ze verwalten an ze léisen, an ass zoustänneg fir de Design, Ëmsetzung a lafend Ënnerhalt vun der Systemarchitektur.

Aféierung vum Linux Foundation Certification Program (LFCE).

D'Iddi hannert der Verschlësselung ass nëmmen vertrauenswürdege Persounen Zougang zu Äre sensiblen Donnéeën z'erméiglechen an se ze schützen géint an déi falsch Hänn ze falen am Fall vu Verloscht oder Déif vun Ärer Maschinn/Festplack.

An einfache Begrëffer gëtt e Schlëssel benotzt fir den Accès op Är Informatioun \spär sou datt se disponibel gëtt wann de System leeft a vun engem autoriséierte Benotzer opgespaart gëtt, dat implizéiert datt wann eng Persoun probéiert den Diskinhalt ënnersicht (et op säin eegene System ukoppelen oder andeems Dir d'Maschinn mat enger LiveCD/DVD/USB bootet), fënnt hien nëmmen onliesbar Donnéeën anstatt déi aktuell Dateien.

An dësem Artikel wäerte mir diskutéieren wéi Dir verschlësselte Dateiesystemer mat dm-crypt opbaut (kuerz fir Apparat Mapper a Kryptografesch), dem Standard Kernel-Niveau Verschlësselungsinstrument. W.e.g. notéiert datt well dm-crypt e Block-Niveau-Tool ass, kann et nëmme benotzt ginn fir voll Apparater, Partitionen oder Loop-Geräter ze verschlësselen (wierkt net op normale Dateien oder Verzeichnisser).

Preparéieren engem Drive/Partition/Loop Apparat fir Verschlësselung

Well mir all d'Donnéeën, déi an eisem gewielten Drive (/dev/sdb) präsent sinn, wëschen, musse mir als éischt e Backup vun all wichtegen Dateien aus der Partition ausféieren IER > weider geet.

Wëschen all Daten vun /dev/sdb. Mir wäerten hei de Kommando dd benotzen, awer Dir kënnt et och mat aneren Tools wéi Shred maachen. Als nächst wäerte mir eng Partition op dësem Apparat erstellen, /dev/sdb1, no der Erklärung am Deel 4 - Erstellt Partitionen a Dateiesystemer an Linux vun der LFCS Serie.

# dd if=/dev/urandom of=/dev/sdb bs=4096 

Ier mer weidergoen, musse mir sécher sinn datt eise Kernel mat Verschlësselungssupport kompiléiert gouf:

# grep -i config_dm_crypt /boot/config-$(uname -r)

Wéi am Bild hei uewen beschriwwen, muss de dm-crypt Kernel Modul gelueden ginn fir d'Verschlësselung opzestellen.

Cryptsetup ass e Frontend-Interface fir ze kreéieren, konfiguréieren, zougräifen an ze verwalten verschlësselte Dateiesystemer mat dm-crypt.

# aptitude update && aptitude install cryptsetup 		[On Ubuntu]
# yum update && yum install cryptsetup 				[On CentOS] 
# zypper refresh && zypper install cryptsetup 			[On openSUSE]

De Standardbetriebsmodus fir Cryptsetup ass LUKS (Linux Unified Key Setup), also wäerte mir dermat bleiwen. Mir fänken un mat der LUKS Partition an de Passphrase ze setzen:

# cryptsetup -y luksFormat /dev/sdb1

De Kommando uewendriwwer leeft cryptsetup mat Standardparameter, déi opgelëscht kënne ginn,

# cryptsetup --version

Sollt Dir Chiffer, Hash oder Schlëssel Parameteren änneren, kënnt Dir d'–Chiffer, < benotzen b>–hash, respektiv –key-size Fändelen mat de Wäerter aus /proc/crypto.

Als nächst musse mir d'LUKS-Partition opmaachen (mir ginn gefrot fir de Passphrase, dee mir virdru aginn hunn). Wann d'Authentifikatioun geléngt, ass eis verschlësselte Partition bannent /dev/mapper mat dem spezifizéierten Numm verfügbar:

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

Elo formatéiere mir d'Partition als ext4.

# mkfs.ext4 /dev/mapper/my_encrypted_partition

a erstellt e Mountpunkt fir déi verschlësselte Partition ze montéieren. Schlussendlech wëlle mir bestätegen ob d'Montage Operatioun gelongen ass.

# mkdir /mnt/enc
# mount /dev/mapper/my_encrypted_partition /mnt/enc
# mount | grep partition

Wann Dir fäerdeg sidd mat Ärem verschlësselten Dateiesystem ze schreiwen oder ze liesen, demontéiert et einfach

# umount /mnt/enc

a schléisst d'LUKS Partition mat,

# cryptesetup luksClose my_encrypted_partition

Schlussendlech wäerte mir kucken ob eis verschlësselte Partition sécher ass:

1. Open der LUKS Partition

# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition

2. Gitt Är Passwuert

3. Mount d'Partition

# mount /dev/mapper/my_encrypted_partition /mnt/enc

4. Erstellt eng Dummy-Datei am Montéierungspunkt.

# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt

5. Vergewëssert Iech datt Dir op d'Datei kënnt, déi Dir just erstallt hutt.

# cat /mnt/enc/testfile.txt

6. Unmount de Fichier System.

# umount /mnt/enc

7. Zoumaachen der LUKS Partitur.

# cryptsetup luksClose my_encrypted_partition

8. Probéiert d'Partition als normale Dateiesystem ze montéieren. Et soll e Feeler uginn.

# mount /dev/sdb1 /mnt/enc

Verschlësselt den Swap Space fir Weider Sécherheet

Den Passwuert deen Dir virdru aginn hutt fir déi verschlësselte Partition ze benotzen ass am RAM Gedächtnis gespäichert wärend se op ass. Wann iergendeen dës Schlëssel an d'Hänn kritt, kann hien d'Donnéeën entschlësselen. Dëst ass besonnesch einfach am Fall vun engem Laptop ze maachen, well während dem Wanterschlof gëtt den Inhalt vum RAM op der Swap-Partition gehal.

Fir ze vermeiden datt Dir eng Kopie vun Ärem Schlëssel fir en Déif zougänglech hannerloosst, verschlësselt d'Swap-Partition folgend dës Schrëtt:

1 Erstellt eng Partition fir als Swap mat der entspriechender Gréisst ze benotzen (/dev/sdd1 an eisem Fall) a verschlësselt se wéi virdru erkläert. Nennt et just \swap fir d'Bequemlechkeet.'

2.Set et als Swap an aktivéiert et.

# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap

3. Als nächst ännert d'entspriechend Entrée an /etc/fstab.

/dev/mapper/swap none        	swap	sw          	0   	0

4. Endlech, änneren /etc/crypttab a restart.

swap               /dev/sdd1         /dev/urandom swap

Wann de System ofgeschloss ass mam Booten, kënnt Dir de Status vum Swapraum verifizéieren:

# cryptsetup status swap

Resumé

An dësem Artikel hu mir entdeckt wéi een eng Partition verschlësselt a Plaz austauscht. Mat dësem Setup sollten Är Donnéeën erheblech sécher sinn. Fillt gratis experimentéieren an zéckt net fir eis zréck ze kommen wann Dir Froen oder Kommentarer hutt. Benotzt einfach de Formulaire hei drënner - mir wäerte méi wéi frou sinn vun Iech ze héieren!